サイトアイコン ITC Media

【明快】SELinuxでセキュリティが強化される仕組みや設定方法

(最終更新月:2023年5月)

✔このような方へ向けて書かれた記事となります

「Linuxのセキュリティを強化したい」

「SELinuxって何だろうか」

「SELinuxが実際に使われている場面ってどこなの?」

✔当記事を通じてお伝えすること

当記事では、SELinuxについて、その基本はもちろん具体的な活用方法まで一から丁寧に解説しています。

ぜひ最後までご覧ください。

筆者プロフィール

【現職】プロダクトマネージャー

【副業】ブログ(月間20万PV)/YouTube/Web・アプリ制作

「プログラミング × ライティング × 営業」の経験を活かし、30後半からのIT系職へシフト。現在はプロダクトマネージャーとして、さまざまな関係者の間に入り奮闘してます。当サイトでは、実際に手を動かせるWebアプリの開発を通じて、プログラミングはもちろん、IT職に必要な情報を提供していきます。

【当ブログで紹介しているサイト】

当サイトチュートリアルで作成したデモ版日報アプリ

Django × Reactで開発したツール系Webアプリ

✔人に見せても恥ずかしくないコードを書こう

「リーダブルコード」は、わかりやすく良いコードの定義を教えてくれる本です。

  • 見るからにきれいなコードの書き方
  • コードの分割方法
  • 変数や関数の命名規則

エンジニアのスタンダートとすべき基準を一から解説しています。

何回も読むのに値する本なので、ぜひ手にとって読んでみてください。

SELinuxとは?| セキュリティの新たなスタンダード

SELinuxとはなにかについて述べていきます。

基本概念をおさえてから、より詳しい活用法へと進みましょう

SELinuxとは: その概要と意義

Security-Enhanced Linux(SELinux)は、Linuxオペレーティングシステムのセキュリティを強化するためのソフトウェアです。

SELinuxは、アクセス制御ポリシーを強制することでシステムを保護し、不正な行動やシステムの脆弱性を利用した攻撃から防ぎます。

なぜSELinuxは重要なのか

SELinuxは、システムのセキュリティを強化するために重要です。

SELinuxがなければ、悪意のあるユーザーやアプリケーションがシステムを損なう可能性があります。

具体的にはSELinuxにより、以下のリスクを大幅に減らすことができるのです。

  1. 不正アクセス: アクセス制御リストを使用して、各プロセス(ユーザーやプログラム)がアクセスできるリソース(ファイル、ディレクトリ、ポートなど)を厳密に制限
  2. 権限昇格:プロセスが必要以上の権限を持つことを防ぎ、攻撃者が権限昇格を試みてシステムを乗っ取ることを防げる
  3. 情報漏洩: SELinuxは、情報が不適切に共有されることを防ぐ
  4. 不正なシステム変更: SELinuxは、システムの重要な設定ファイルが不正に変更されることを防ぐ

SELinuxの開発: その起源と進化

SELinuxは、アメリカ国立安全保障局(NSA)によって開発されました。

NSAは、既存のLinuxシステムではセキュリティ要件を満たせないと判断し、SELinuxを開発しました。

その結果、SELinuxはLinuxコミュニティに広く採用され、セキュリティ強化のための重要なツールとなりました。

SELinuxの主要なバージョンとアップデート

SELinuxは、その開発以来、数多くのアップデートを経てきました。

各アップデートで、新たなセキュリティ機能が追加され、既存の機能も強化。

最新のバージョンでは、より高度なアクセス制御と複雑なセキュリティポリシーの管理が可能となっています。

SELinuxの導入方法|ディストリビューションごとに解説

以下それぞれのディストリビューションで、SELinuxを導入する方法を解説します。

インストールが必要だとしても、SELinuxは無料で使用可能です。

Red Hat Enterprise Linux/CentOS

Red Hat Enterprise Linux (RHEL) およびその派生である CentOS では、デフォルトで SELinux がインストールおよび有効化されています。

その設定は /etc/selinux/config ファイルで管理されており、SELinux の動作モード(enforcing、permissive、disabled)を変更が可能。

これらの操作は無料で行うことができますが、RHEL の使用にはサブスクリプションが必要で有料です。

Debian/Ubuntu

Debian および Ubuntu では、SELinux はデフォルトではインストールされていません

Apparmorが競合として、インストールされています。

もしSELinuxを使いたいのなら、Apparmorを無効化のうえ、SELinuxをインストールしてください。

#apparmor
sudo systemctl stop apparmor
sudo apt remove apparmor

#selinuxのインストール
sudo apt-get install selinux-utils selinux-basics auditd audispd-plugins
sudo sestatus

SELinuxを有効にし、そ の設定を行うために /etc/selinux/config ファイルを編集します。

Fedora

Fedora では、デフォルトで SELinux がインストールおよび有効化されています。

その設定は /etc/selinux/config ファイルで管理されており、SELinux の動作モード(enforcing、permissive、disabled)を変更可能です。

なお、これらの操作はすべてコマンドラインから行いますので、Linux の基本的な操作知識が必要です。

また、各ディストリビューションのバージョンにより手順や条件が異なる場合がありますので、その点はご注意ください。

SELinuxの内部: 仕組みと設定方法

SELinuxの仕組みを理解し、その設定方法をご覧いただきます。

仕組みの概要を理解すれば、さまざまな設定も理解いただけるはずです。

SELinuxの動作: 構造とメカニズム

SELinuxは、Linuxカーネルに組み込まれ、システムの各部分にアクセス制御ポリシーを強制します。

以下のリソース(オブジェクト)と、それらのリソースへのアクセスを試みるプロセス間の相互作用を管理します。

基本的に、SELinuxはプロセスがオブジェクトに対して実行できる操作(読み取り、書き込み、実行など)を制御します。

SELinuxのラベリングとTypeEnforcement

SELinuxでは、オブジェクト(ファイル、ディレクトリ、ポートなど)とプロセスにラベルを付けることで、それぞれがどのようなアクセスを許可されているかを制御します。

これらのラベルはSELinuxポリシーにより管理され、Type Enforcementと呼ばれる主要なアクセス制御メカニズムで使用されます。

SELinuxの有効化・無効化: ステップバイステップ

SELinuxは、システムの設定ファイルを編集することで有効化または無効化できます。

具体的には、以下の設定をおこなうのです。

SELinuxのアクセス制御: DACとMAC

SELinuxのアクセス制御について詳しく見ていきます。

アクセス制御はSELinuxの機能でもとてもコアな部分です。

DACとMAC: 二つの世界

DAC(Discretionary Access Control)とMAC(Mandatory Access Control)は、システムリソースへのアクセスを制御する二つの主要な方法です。

SELinuxとアクセス制御: DACとMACの活用

SELinuxは、MACを使用して強力なセキュリティを提供します。

しかし、DACとMACは排他的ではなく、SELinuxはDACを補完するのが役割のひとつ。

SELinuxは、DACによるアクセス制御を許可した後に、そのアクセスをさらに評価します。

これにより、もしDACが何らかの理由で誤ってアクセスを許可した場合でも、SELinuxがそのアクセスをブロックすることでシステムを保護しているのです。

SELinuxのパワー: 主要機能と利点

SELinuxの主要機能をご覧いただきます。

主に以下を中心に理解していきましょう。

SELinuxポリシー: セキュリティのガイドライン

SELinuxポリシーは、システム上で許可される行動を定義します。

どのタイプのプロセスがどのタイプのオブジェクトに対してどのようなアクションを実行できるかを定義するのです。。

これらのポリシーは、一般的にはプレコンパイルされたバイナリファイルとしてシステムにロードされます。

SELinuxの武器:主要機能6選

SELinuxの主要ツールを以下にまとめました。

これらのツールを適切に使用して、SELinuxはシステム全体のセキュリティを大幅に向上させましょう。

SELinuxの機能説明
コンテキストSELinuxがリソースを識別し、アクセス制御を行うためのラベル。
ファイルのラベリングファイルに対してSELinuxコンテキストを割り当てること。
AccessVectorルールどのドメインがどのタイプのオブジェクトに対してどの操作を行えるかを規定するルール。
ドメイン遷移プロセスが新たに別のプロセスを生成するときに、新たなプロセスがどのドメインになるかを規定するルール。
ポートのラベリングネットワークポートにSELinuxコンテキストを割り当てること。
アトリビュートSELinuxのユーザー、ロール、タイプに関連する特性を定義するためのもの。

RBAC, MCS, MLS: セキュリティの新次元

以下はSELinuxが提供する高度なアクセス制御メカニズムです。

RBACでは、ユーザーのロールに基づいてアクセスを制御し、MCSとMLSは、より細かい粒度でのアクセス制御を提供します。

SELinuxの活用: 設定から運用まで

SELinuxの活用方法に入りましょう。

設定するところから順に見ていけば必ず理解できます。

SELinuxの設定: 基本とポリシー変更

SELinuxの設定は、主に`/etc/selinux/config`ファイルと専用のコマンドラインツールを通じて行います。

この設定ファイルでは、SELinuxの動作モード(無効、パーミッシブ、強制)や使用するポリシーの種類を設定できます。

実践Apache: SELinuxの試用

Apache HTTPサーバーは、SELinuxの機能を試すのに適した一例です。

SELinuxは、Apacheの動作について以下を制御できます。

これにより、Apacheが攻撃者によって乗っ取られた場合でも、その影響を最小限に抑えることができます。

ブール値とSELinux: 理解と活用

SELinuxでは、いくつかのセキュリティポリシーの振る舞いを制御するためにブール値を使用します。

これらのブール値は、特定の機能を有効または無効にするためのスイッチのようなものです。

例えば、`httpd_enable_cgi`というブール値は、ApacheがCGIスクリプトを実行できるかどうかを制御します。

 SELinuxのトラブルシューティング: 問題解決のガイド

SELinuxの問題とその対処法について解説します。

事前に理解しておけば、回避できるトラブルもあるはずです。

SELinuxの一般的な問題と解決策

SELinuxには、学習曲線があり、しばしば初心者を混乱させる問題があります。

例えば、SELinuxが新しいファイルに適切なラベルを付けない場合、そのファイルへのアクセスが拒否される可能性があります。

このような問題は、`restorecon`コマンドを使用してファイルのラベルを修正することで解決できます。

サイレント拒否: 対処法と回避策

SELinuxは、システム上で許可されていない行動を黙って拒否することがあります。

これを「サイレント拒否」と呼びます。

この問題を解決するためには、SELinuxのログをチェックし、拒否された行動が何であったかを特定することが重要です。

ロギングとデバッグ: SELinuxの問題解決

SELinuxの問題を解決するための最良のツールの一つが、ログファイルです。

SELinuxは、`/var/log/audit/audit.log`に詳細なログを出力します。

また、`sealert`ツールを使用すると、これらのログを分析し、問題の解決策を提供することができます。

SELinuxとRedHat: サポートと資料

SELinuxとRedhadのバックアップ体制について見ていきましょう。

SELinuxを使うのであれば、サポートや学習のための材料が必要です。

RedHatのSELinuxサポート: 何が提供されているか”

Red HatはSELinuxを積極的にサポートしています。

Red Hat Enterprise Linux (RHEL) の顧客は、製品に関する問題に対する専門的なサポートを受けられます。

公式ドキュメンテーション、オンライン学習リソース、専門家によるアドバイスも提供されているのです。

SELinuxの学習リソースと参考資料

SELinuxについて学ぶための資源は数多く存在します。

Red Hatの公式ドキュメンテーションは、非常に詳細で、SELinuxの設定方法やポリシーの作成方法を学ぶのに役立ちます。

また、オンライン上にはSELinuxに関する多くのチュートリアルやガイドがあり、初心者から上級者まで対応しています。

まとめ: SELinuxと未来の学び

SELinuxは、Linuxのセキュリティを強化するための強力なツールであり、その重要性はますます高まっているといえます。

しかし、その複雑さから適切に利用されていないのも事実。

適切な教育と練習により、SELinuxはそれが提供する強力なセキュリティ機能を最大限に活用できるようになるでしょう。

Linuxにおける一般的なコマンドも理解しつつ、セキュリティについての学習を進めてください。

モバイルバージョンを終了